PT-2020-1755 · Moxa · Moxa Awk-3131A
Carl Hurd
·
Publicado
2020-02-25
·
Atualizado
2022-06-13
·
CVE-2019-5148
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Firmware Moxa AWK-3131A versão 1.13
Descrição
Existe uma vulnerabilidade de negação de serviço na funcionalidade ServiceAgent devido a um underflow de inteiro. Esse underflow pode acionar uma operação memcpy de grande porte, acessando memória não mapeada ou fora dos limites. Um invasor pode explorar essa vulnerabilidade enviando um pacote especialmente criado sem autenticação. A vulnerabilidade está relacionada a um estouro de buffer baseado em heap, que pode ser explorado por um invasor remoto para causar uma negação de serviço.
Recomendações
Para o firmware Moxa AWK-3131A versão 1.13, considere restringir o acesso à funcionalidade ServiceAgent até que um patch esteja disponível. Como solução temporária, evite usar a funcionalidade ServiceAgent para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Out of bounds Read
Integer Underflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Moxa Awk-3131A